OpenSSL CCS Injection 脆弱性対策

つい先日明らかにされたセキュリティアラート:
CVE-2014-0224 OpenSSL CCS Injection 脆弱性に関する対策実施について

原文はこちら
CCS Injection Vulnerability
http://ccsinjection.lepidum.co.jp/ja.html

OpenSSLプロジェクトによる Security Advisory [05 Jun 2014]
https://www.openssl.org/news/secadv_20140605.txt

本件の問題点と対策は以下の通りです。

■OpenSSL CCS Injection 脆弱性問題点要約

ChangeCipherSpec(CCS)メッセージの処理に脆弱性があり、悪用された場合、第三者が通信に介在し、第三者が知り得る弱い鍵をOpenSSLに使用させることが可能だということです。

■必要な対策

問題があるのは OpenSSL バージョン 1.0.1以降(1.0.1 系列に限定)で、かつサーバとクライアントの両方が OpenSSL で通信する場合です。
(サーバが 0.9.8 系列や 1.0.0 系列の場合には、攻撃されないことが確認されているようです。)

OpenSSL バージョン 1.0.1以降を使って実際に暗号化通信を行っているサーバーは、各OSの OpenSSL最新版にアップデートが必要です。

RedHat Linux / CentOS
https://rhn.redhat.com/errata/RHSA-2014-0625.html

Debian GNU/Linux
http://www.debian.org/security/2014/dsa-2950

Ubuntu
http://www.ubuntu.com/usn/usn-2232-1/

当サービスで圧倒的多数である CentOS の場合は、以下で修正済み。

    openssl-1.0.1e-16.el6_5.14

当サービスのお客様の OS、OpenSSLのバージョンを確認し、本件の問題の影響を受けるバージョンであった場合は必要に応じて修正版へアップデートを随時実施しております。
また必要に応じ、httpd/mod_ssl/nginx 等のサーバーウェアも合わせてアップデートを実施しております。

■実施日時

   2014年 6月 9日以降、随時 ~ 1週間以内

■SSLサーバー証明書の再取得について

この脆弱性を悪用したとしても、秘密鍵を盗み出すことはできません。
従って、SSLサーバー証明書の再取得までは必要ないと思われます。

コメントを残す